検出サーバーのアーキテクチャに関する考慮事項

検出サーバーが利用できない場合に発生する問題を確認し、ダウンタイムを最小限に抑えるための方法を理解します。
検出サーバーがダウンした場合、その影響はサーバーの種類によって異なります。詳細については、以下の表を参照してください。
検出サーバーの停止の概略
検出サーバーの種類
停止の説明
Network Monitor
Network Prevent (Web)
Network Prevent (Email)
検出とインシデントのログ記録が停止します。
Network Discover
:
アクティブ スキャンまたは定時スキャンが停止し、インシデントはログに記録されません。
Endpoint Prevent
/
Endpoint Discover
:
エージェントでの検出は通常どおり続行されます (遮断通知やポップアップ通知を含む)。
インシデントは、エンドポイント サーバーが利用可能になるまでエンドポイントのローカルに格納されます。エンドポイント サーバーが長期間停止している場合、新しいインシデントが記録されないことがあります。エンドポイントに十分な空きディスク容量がない場合、新しいインシデントは記録されません。これらのインシデントは、エンドポイント サーバーが復元されるまで Enforce サーバーに表示されません。
検出サーバーの損失は
Symantec Data Loss Prevention
ソリューションに重大な影響を与えます。検出サーバーの種類によっては、トラフィックの検査が失敗することがあります。幸い、ほとんどの検出サーバーは水平方向に拡張可能です。N+1 または N+2 サーバー配備と組み合わせた負荷分散ソリューションを使用することで、強力な可用性が実現されます。損失する検出サーバーの種類によって運用に対する影響は異なるので、HA/DR に関する考慮事項もそれぞれ異なる場合があります。

Network Prevent (Email)
および
Network Prevent (Web)

Network Prevent (Email)
および
Network Prevent (Web)
検出サーバーには、特にコンテンツを遮断する機能があるため、企業は多くの場合、データ漏えい防止のための主要な防御線としてそれらの検出サーバーを使用します。高可用性を実現するために、これらのサーバーを N+1 または N+2 割り当てで配備し、負荷分散技術と併用すると、単一サーバーの障害に対する優れた防御策となります。
これらの 2 種類の検出サーバーには重要な役割があるため、お客様は多くの場合、障害回復を目的として、代替サイトにアクティブまたはウォーム スタンバイのインフラストラクチャを配置しています。

Endpoint Prevent
および
Endpoint Discover

エンドポイント サーバーは、ほとんどのトラフィックを直接検査することはなく、単にポリシーとインシデントを DLP Agent に中継する役割を果たしています。これらのサーバーはデータを中継するため、単一または複数のエンドポイント サーバーが一時的に失われることは許容されます。
ただし、EDM プロファイルと IDM プロファイルで 2 層検出が使用されている場合、エンドポイント サーバーはデータを検出します。
Endpoint Prevent
および
Endpoint Discover
サーバーに対して以下のいずれかのアーキテクチャ シナリオを実装することを検討してください。
  • N+1 構成でのエンドポイント サーバーの負荷分散。この構成では、1 つの URL/仮想 IP アドレスを使用してすべてのエンドポイント サーバーを表すことができるため、エージェントの可用性が向上します。
  • DMZ または外部公開されているプライベート クラウド インスタンス内にエンドポイント サーバーを配置します。この構成では、エージェントが会社のネットワークに接続されていない場合でもエージェントの可用性が提供されます。

エージェントのフェールオーバに関する考慮事項

エージェント接続の要件に対応するようにエージェントのフェールオーバを計画します。エージェントのインストール パッケージを生成するときに、プライマリ サーバーがダウンした場合のバックアップとしてセカンダリ サーバーを指定できます。
エージェントは、別のデータベースで構成される環境に簡単にフェールオーバできません。別の Enforce サーバーおよびデータベースを含むフェールオーバ サイトを使用する場合は、エージェント通信に関する以下の考慮事項を確認してください。
  • Enforce サーバーのエンドポイント キーストア パスワードを変更します。
  • バックアップ Enforce サーバーに同じパスワードを適用します。
  • エンドポイント サーバーを再起動して、キーストア パスワードが確実に適用されるようにします。
  • 新しいエンドポイント キーストア パスワードを使用してエージェントのインストール パッケージを作成します。その後、バックアップ Enforce サーバーは、同じキーストア パスワードを使用する証明書を使ってエージェントと通信できます。
上記のフェールオーバ計画は、サードパーティの証明書ではテストされていません。

Network Monitor

Network Monitor
では SPAN または TAP 接続を使用するため、高可用性と障害回復には特別な考慮事項が必要になります。
Network Monitor
サーバーに対して以下のアーキテクチャ シナリオを実装することを検討してください。
  • サーバーを仮想化する場合は、ホストを仮想マシンに割り当てて、ホスト内の物理ネットワーク カードを最大限に活用できるようにします。
  • 物理ハードウェアを使用する場合は、高度なエッジ ネットワーク アプライアンス上のトラフィック ステアリングを使用して「負荷分散」が実行される N+1 構成を配備します。お客様は通常、代替サイトの場所に配備されたスタンバイ/アクティブ型のインフラストラクチャを使用しています。このインフラストラクチャの目的は、フェールオーバだけではありません。代替サイトのトラフィックも監視します。

Network Discover

計画された定時スキャンの性質上、
Network Discover
は多くの場合、高可用性と障害回復の計画において優先順位が最も低くなります。ほとんどのお客様は、フェールオーバ専用のハードウェアを保持せずに、既存のサーバーの障害が発生したときに新しい
Network Discover
サーバーを再構築します。
Network Discover
からのインシデントを生成する文書は、多くの場合、リアルタイムではなく、日、週、月、または年の単位で生成されます。目標復旧時点は通常、より寛容な計画でサーバーを再構築できるように、より長い時間枠で見積もられます。